Презентация на тему "Обеспечение безопасной серверов, сети и рабочих станций" 11 класс

Содержание

• 
  Слайд 1
  

  Обеспечение безопасности серверов, сети и рабочих станций

• 
  Слайд 2

  Windows Resource Protection -(WRP)

• 
  Слайд 3

  Windows Resource Protection (WRP)

  Во время установки ПО инсталлятор системы Windows Vista не позволяет изменять файлы и папки защищенные Windows Resource Protection (WRP). Случайное или намеренное удаление защищенных объектов затруднено. Window Resource Protection (WRP) может защищать ключи реестра. Типы защищаемых файлов: .acm, .ade, .adp, .app, .asa, .asp, .aspx, .ax, .bas, .bat, .bin, .cer, .chm, .clb, .cmd, .cnt, .cnv, .com, .cpl, .cpx, .crt, .csh, .dll, .drv, .dtd, .exe, .fxp, .grp, .h1s, .hlp, .hta, .ime, .inf, .ins, .isp, .its, .js, .jse, .ksh, .lnk, .mad, .maf, .mag, .mam, .man, .maq, .mar, .mas, .mat, .mau, .mav, .maw, .mda, .mdb, .mde, .mdt, .mdw, .mdz, .msc, .msi, .msp, .mst, .mui, .nls, .ocx, .ops, .pal, .pcd, .pif, .prf, .prg, .pst, .reg, .scf, .scr, .sct, .shb, .shs, .sys, .tlb, .tsp, .url, .vb, .vbe, .vbs, .vsmacros, .vss, .vst, .vsw, .ws, .wsc, .wsf, .wsh, .xsd, and .xsl.

• 
  Слайд 4
  

  WRP сохраняет файлы необходимые для запуска Windows в кэш папку %Windir%\winsxs\Backup. Прочие защищаемые файлы хранятся в %systemroot%\system32\dllcache

• 
  Слайд 5
  

  Типы защищаемых файлов: .acm, .ade, .adp, .app, .asa, .asp, .aspx, .ax, .bas, .bat, .bin, .cer, .chm, .clb, .cmd, .cnt, .cnv, .com, .cpl, .cpx, .crt, .csh, .dll, .drv, .dtd, .exe, .fxp, .grp, .h1s, .hlp, .hta, .ime, .inf, .ins, .isp, .its, .js, .jse, .ksh, .lnk, .mad, .maf, .mag, .mam, .man, .maq, .mar, .mas, .mat, .mau, .mav, .maw, .mda, .mdb, .mde, .mdt, .mdw, .mdz, .msc, .msi, .msp, .mst, .mui, .nls, .ocx, .ops, .pal, .pcd, .pif, .prf, .prg, .pst, .reg, .scf, .scr, .sct, .shb, .shs, .sys, .tlb, .tsp, .url, .vb, .vbe, .vbs, .vsmacros, .vss, .vst, .vsw, .ws, .wsc, .wsf, .wsh, .xsd, and .xsl.

• 
  Слайд 6
  

  В случае неавторизованной замены файла Windows восстанавливает его из следующих источников: Кэш папки Сетевой путь к дистрибутиву Windows CD-ROM

• 
  Слайд 7
  
• 
  Слайд 8
  
• 
  Слайд 9

  Защита ОС и данных с помощью BitLocker.....

• 
  Слайд 10

  Шифрование дисков с помощью BitLocker™

  Защищает от неавторизованого доступа к данным Предназначен для защиты от физической кражи систем Позволяет выполнять защищенный старт системы Использует TPM или USB диск для хранения ключей BitLocker

• 
  Слайд 11

  Архитектура TPM

  Оранжевые – сервисы TPM Голубые – сервисы Microsoft Желтые и зеленые – сервисы сторонних производителей Режим ядра (Kernel Mode) NT Сервис

• 
  Слайд 12

  BitLocker™и TPM

  Шифрование диска BitLocker™ Шифрует полностью том ИспользуетTrusted Platform Module (TPM) v1.2 для проверки pre-OS компонентов Настраиваемые методы защиты и аутентификации Защита до запуска ОС USB ключи, PIN, TPM аутентификация Единый драйвер TPM от Microsoft Улучшеная стабильность и безопасость TPM Base Services (TBS) Позволяет включать в цепочку приложение от сторонних поставщиков Active Directory Backup Автоматизированное резервное копирование ключей в AD Поддержка групповых политик Скриптовые интерфейсы Управление TPM Управление BitLocker™ Инструменты коммандной строки

• 
  Слайд 13

  Варианты применения BitLocker

• 
  Слайд 14

  Требования BitLocker

  Аппаратное обеспечение Trusted Platform Module TPM не ниже версии 1.2 Иметь логотип Vista certified Не совместимое с TPM оборудование BIOS должен поддерживатьзагрузку с USB включая считывание данных с USB до загрузки ОС.

• 
  Слайд 15

  Bitlocker - шифрование

  Не шифруются: загрузочный сектор поврежденные сектора, отмеченные как нечитаемые метаданные тома состоят из трех избыточных копий данных, включая статистическую информацию о томе защищенные копии некоторых ключей расшифровки* *Эти элементы не требуют шифрования, поскольку не являются уникальными, ценными или позволяющими определить личность.

• 
  Слайд 16
  

  Используется алгоритм AES с ключом 128 бит. Возможно увеличение длины ключа до 256 бит с помощью GPO или WMI. Каждый сектор тома шифруется отдельно, при этом часть ключа шифрования определяется номером этого сектора. В результате два сектора, содержащие одинаковые незашифрованные данные, будут в зашифрованном виде выглядеть по-разному. Перед шифрованием данных используется алгоритм, называемый диффузором (diffuser). В результате его применения любое мельчайшее изменение исходных данных приводит к полному изменению всего сектора.

• 
  Слайд 17

  Bitlocker – процесс расшифровки

  (full-volume encryption key, FVEK) – ключ тома защифрован VMK. Пользователидоступа к ключу FVEK не имеют и он никогда не попадает на диск в расшифрованном виде (volume master key, VMK) – мастер ключ тома разблокируется контрольной суммой предзагрузочных компонентов подсчитывает контрольные суммы и сравнивает с эталонными

• 
  Слайд 18

  Bitlocker - настройка

• 
  Слайд 19
  
• 
  Слайд 20

  Bitlocker запуск

• 
  Слайд 21

  Bitlocker восстановление

• 
  Слайд 22

  Защита информации

  От каких угроз защищаемся? От пользователей и Администраторов на этом же PC? (EFS) Неавторизованый физический доступ? (BitLocker™)

• 
  Слайд 23

  Управление здоровьем систем - Network Access Protection.....

• 
  Слайд 24

  Защита сети с помощью NAP

  1 Сервер восстановления Карантинная сеть 1 Windows клиент 2 2 DHCP, VPN иликоммутатор/маршрутизаторпередает данные о состоянии здоровья Network Policy серверу (RADIUS) 3 3 Network Policy Server (NPS) проверяет параметры здоровья на соответствие политике здоровья определеннойдепартаментом ИТ 4 Если здоровье не соответствует политикам, помещаем клиента в карантинную сеть и даем доступк серверу восстановления где он сможет скачать обновления, настройки, сигнатуры антивируса. (Повторяем шаги 1 - 4) Не соответствует 5 Если здоровье клиента соответствует политикам, даем ему доступ в корпоративную сеть Соответствует политике NPS DHCP, VPN маршрутизато, коммутатор 4 Сервера политик Такие как : обновленияПО, антивирус Основная сеть 5 Клиент запрашивает доступ в сеть и передает данные о состоянии здоровья

• 
  Слайд 25

  Архитектура нашего примера NAP

• 
  Слайд 26

  Демонстрация Network Access Protection

• 
  Слайд 27

  Что такое NPS?

  Network Policy Server новаяреализация Internet Authentication Services (IAS) NPS это реализация RADIUS сервера от Microsoft с поддержкой основных RFCRADIUS и EAP NPS работает только на Windows Server 2008

• 
  Слайд 28

  Методы использования NPS

  Аутентификация доступа в сеть 802.1x VPN IPSec NAP Определение и принудительное исполнение политик Учет доступа в сеть Хранение настроек устройств используемых для доступа в сеть Прозрачное перенаправление запросов аутентификации в AD

• 
  Слайд 29

  ПреимуществаNPS

  NPS в соединении с AD и Windows Vista позволяет предоставлять удобный доступ к сетям и сервисам (single sign-on) NPS объединяет в одной точке отчетность и управление доступом для всех способов (802.1x, VPN, DHCP…)

• 
  Слайд 30

  Пример работы NPS

  Пользователь запрашивает доступ Сетевое устойство запрашивает пароль Устройство передает учетные данные и сведения о соединении в NPS RADIUS проверяет даннные соединения и сравнивает их с политиками; передает учетные данные в AD для аутентификации Если политика совпадает, и пользователь предоставил правильные пароли Устройство разрешает доступ

• 
  Слайд 31

  Advanced Group Policy Management - (AGPM)

• 
  Слайд 32

  Microsoft Advanced Group Policy Management

  Улучшаем групповые политики с помощью управления изменениями Администрирование основаное на ролях и шаблонах Гибкая модель делегирования Отслеживание версий, история измененийивозвращение к предыдущей конфигурации Ускорение управления за счет более точного административного контроля Уменьшает риск глобального сбоя Управляемость PC Диагностикаи Help Desk

• 
  Слайд 33

  Advanced Group Policy Management

  Простота администрирования всех объектов GPO во всем лесе Active Directory Просмотр всех объектов GPO в одном списке Редактирование объектов в автономном режиме Отчет о настройках GPO, безопасности (security), фильтрах (filter), копировании (delegation) и т.п. Контроль наследования GPO inheritance с помощью Block Inheritance (блокировка наследования), Enforce (усиление) и Security Filtering (фильтры безопасности) Модель делегирования (Delegation model) Создание резервных копий объектов GPO Перемещение объектов GPO в различные домены и леса

• 
  Слайд 34

  AGPM – делегирование

• 
  Слайд 35
  
• 
  Слайд 36
  
• 
  Слайд 37

  AGPM – автономное редактирование

• 
  Слайд 38

  AGPM – управление изменениями

  Кто сделал изменение Когда было сделано изменение Что затронуло это изменение

• 
  Слайд 39
  
• 
  Слайд 40

  AGPM – аудит изменений

• 
  Слайд 41

  Microsoft Advanced Group Policy Management

  Проблема: Необходимо управлять групповыми политиками 1,650 компьютеров компании Forsyth County в реальном времени, эффективно и безопасно Результат: Легкость и безопасность построения объектов групповых политик Развертование групповых политки в нужный момент вместо ожидания замены PC из-за износа Применение групплвых политик в реальном времени и минимизация простоев Упрощение и автоматизация процесса управления изменениями групповых политик “Advanced Group Policy для нас это серебряная пуля. Автоматизация управления изменениями и система делегирования полномочий действительно впечатляют. Я не смог бы управлять групповыми политиками без нее”. MICHAEL WILCOX MIS CLIENT SERVICES SUPERVISOR FORSYTH COUNTY Созданиеиуправление групповых политик, подерживающих конфигурацию рабочих мест в соответствии с последними требованиями

• 
  Слайд 42

  Дополнительнаяинформация

  Документация http://www.microsoft.com/windowsserver2008/ http://msdn2.microsoft.com/en-us/library/aa382503(VS.85).aspx http://technet.microsoft.com/en-us/windowsvista/aa905065.aspx http://msdn2.microsoft.com/en-us/library/ms723891.aspx Блоги http://blogs.technet.com/abeshkov/ http://blogs.technet.com/bitlocker/ http://blogs.technet.com/windowsserver/

• 
  Слайд 43